Zabezpieczanie infrastruktury za pomocą rozwiązania Zero Trust

  • Artykuł

Infrastruktura reprezentuje wektor zagrożenia krytycznego. Infrastruktura IT, zarówno lokalna, jak i wielochmurowa, jest definiowana jako cały sprzęt (fizyczny, wirtualny, konteneryzowany), oprogramowanie (open source, first-and third-party, PaaS, SaaS), mikrousługi (funkcje, interfejsy API), infrastruktura sieciowa, obiekty itd., które jest wymagane do opracowywania, testowania, dostarczania, monitorowania, kontroli lub obsługi usług IT. Jest to obszar, w którym firma Microsoft zainwestowała ogromne zasoby, aby opracować kompleksowy zestaw możliwości w celu zabezpieczenia przyszłej infrastruktury chmurowej i lokalnej.

Nowoczesne zabezpieczenia z kompleksową strategią zero trust ułatwia:

  • Ocena wersji.
  • Wykonaj zarządzanie konfiguracją.
  • Stosowanie uprawnień administracyjnych Just-In-Time i Just-Enough-Access (JIT/JEA) w celu zabezpieczenia ochrony przed zabezpieczeniami.
  • Używanie telemetrii do wykrywania ataków i anomalii.
  • Automatycznie blokuj i flaguj ryzykowne zachowanie i podejmij działania ochronne.

Tak samo ważne, usługa Microsoft Azure Blueprints i powiązane możliwości zapewniają, że zasoby są projektowane, implementowane i trwałe w sposób zgodny z zasadami, standardami i wymaganiami organizacji.

Usługi Azure Blueprints, Azure Policies, Microsoft Defender dla Chmury, Microsoft Sentinel i Azure Sphere mogą znacznie przyczynić się do poprawy bezpieczeństwa wdrożonej infrastruktury. Umożliwiają one różne podejście do definiowania, projektowania, aprowizacji, wdrażania i monitorowania infrastruktury.

Powtarzający się okrągły diagram pięciu elementów: Ocena zgodności, Obserwowanie luk, Tworzenie, Testowanie i Wdrażanie.

Cele wdrożenia infrastruktury Zero Trust

Napiwek

Przed rozpoczęciem podróży przez większość organizacji zero trust ich podejście do zabezpieczeń infrastruktury charakteryzuje się następującymi cechami:

  • Uprawnienia są zarządzane ręcznie w różnych środowiskach.
  • Zarządzanie konfiguracją maszyn wirtualnych i serwerów, na których działają obciążenia.

Podczas implementowania kompleksowej platformy Zero Trust na potrzeby zarządzania infrastrukturą i monitorowania jej infrastruktury zalecamy skupienie się najpierw na tych początkowych celach wdrażania:

Ikona listy z jednym znacznikiem wyboru.

Obciążenia I.Są monitorowane i powiadamiane o nietypowym zachowaniu.

II.Każde obciążenie ma przypisaną tożsamość aplikacji — i jest stale konfigurowane i wdrażane.

III.Dostęp człowieka do zasobów wymaga just-in-time.

Po zakończeniu początkowych celów skoncentruj się na następujących dodatkowych celach wdrażania:

Ikona listy z dwoma znacznikami wyboru.

IV.Nieautoryzowane wdrożenia są blokowane i wyzwalany jest alert.

Szczegółowe widoczność i kontrola dostępu są dostępne w różnych obciążeniach.

VI.Dostęp użytkowników i zasobów podzielone na segmenty dla każdego obciążenia.

Przewodnik wdrażania infrastruktury zerowej zaufania

Ten przewodnik przeprowadzi Cię przez kroki wymagane do zabezpieczenia infrastruktury zgodnie z zasadami platformy zabezpieczeń Zero Trust.

Przed rozpoczęciem upewnij się, że zostały spełnione te cele wdrażania infrastruktury bazowej.

Ustawianie planu bazowego dzierżawy firmy Microsoft

Należy ustawić priorytetową linię bazową dla sposobu zarządzania infrastrukturą. Stosując wskazówki branżowe, takie jak NIST 800-53, można uzyskać zestaw wymagań dotyczących zarządzania infrastrukturą. W firmie Microsoft ustawiliśmy minimalny plan bazowy na następującą listę wymagań:

  • Dostęp do danych, sieci, usług, narzędzi, narzędzi i aplikacji musi być kontrolowany przez mechanizmy uwierzytelniania i autoryzacji.

  • Dane muszą być szyfrowane podczas przesyłania i przechowywania.

  • Ogranicz przepływy ruchu sieciowego.

  • Wgląd zespołu ds. zabezpieczeń we wszystkich zasobach.

  • Monitorowanie i inspekcja musi być włączone i poprawnie skonfigurowane zgodnie z określonymi wskazówkami organizacyjnymi.

  • Oprogramowanie chroniące przed złośliwym oprogramowaniem musi być aktualne i uruchomione.

  • Należy przeprowadzić skanowanie luk w zabezpieczeniach i skorygować luki w zabezpieczeniach zgodnie z określonymi wskazówkami organizacyjnymi.

Aby zmierzyć zgodność z tą minimalną lub rozszerzoną bazą danych, zaczynamy od uzyskania widoczności na poziomie dzierżawy i w środowiskach lokalnych, stosując rolę Czytelnik zabezpieczeń w dzierżawie platformy Azure. Dzięki roli Czytelnik zabezpieczeń można uzyskać lepszy wgląd w Microsoft Defender dla Chmury i zasady platformy Azure, które mogą służyć do stosowania branżowych punktów odniesienia (na przykład azure CIS, PCI, ISO 27001) lub niestandardowej linii bazowej zdefiniowanej przez organizację.

Uprawnienia są zarządzane ręcznie w różnych środowiskach

Na poziomie dzierżawy do poszczególnych zasobów w ramach każdej subskrypcji usługi ad grupy zasobów należy zastosować odpowiednie mechanizmy kontroli dostępu opartej na rolach.

Napiwek

Dowiedz się więcej o implementowaniu kompleksowej strategii zero trust tożsamości.

Zarządzanie konfiguracją maszyn wirtualnych i serwerów, na których działają obciążenia

Podobnie jak zarządzaliśmy środowiskiem lokalnego centrum danych, musimy również upewnić się, że skutecznie zarządzamy naszymi zasobami w chmurze. Zaletą korzystania z platformy Azure jest możliwość zarządzania wszystkimi maszynami wirtualnymi z jednej platformy przy użyciu usługi Azure Arc (wersja zapoznawcza). Za pomocą usługi Azure Arc można rozszerzyć punkty odniesienia zabezpieczeń z poziomu usługi Azure Policy, zasad Microsoft Defender dla Chmury i oceny wskaźnika bezpieczeństwa, a także rejestrować i monitorować wszystkie zasoby w jednym miejscu. Poniżej przedstawiono kilka akcji na potrzeby rozpoczynania pracy.

Implementowanie usługi Azure Arc (wersja zapoznawcza)

Usługa Azure Arc umożliwia organizacjom rozszerzanie znanych mechanizmów kontroli zabezpieczeń platformy Azure na lokalną i brzegową infrastrukturę organizacji. Administracja istratory mają kilka opcji łączenia zasobów lokalnych z usługą Azure Arc. Należą do nich skrypty witryny Azure Portal, programu PowerShell i systemu Windows z obsługą skryptów jednostki usługi.

Dowiedz się więcej o tych technikach.

Stosowanie punktów odniesienia zabezpieczeń za pośrednictwem usługi Azure Policy, w tym stosowania zasad gościa

Włączając Defender dla Chmury, będziesz mieć możliwość uwzględnienia zestawu kontrolek punktu odniesienia za pomocą wbudowanych definicji zasad usługi Azure Policy dla Microsoft Defender dla Chmury. Zestaw zasad punktu odniesienia zostanie odzwierciedlony w Defender dla Chmury wskaźnik bezpieczeństwa, w którym można zmierzyć zgodność z tymi zasadami.

Możesz rozszerzyć zakres zasad poza zestaw Defender dla Chmury i utworzyć zasady niestandardowe, jeśli wbudowane nie są dostępne. Można również uwzględnić zasady konfiguracji gościa, które mierzą zgodność wewnątrz maszyn wirtualnych gościa w ramach subskrypcji.

Stosowanie Defender dla Chmury mechanizmów kontroli programu Endpoint Protection i zarządzania lukami w zabezpieczeniach

Ochrona punktu końcowego jest niezbędna do zapewnienia bezpieczeństwa i dostępności infrastruktury. W ramach każdej strategii ochrony punktu końcowego i zarządzanie lukami w zabezpieczeniach będziesz mieć możliwość centralnego mierzenia zgodności w celu zapewnienia włączenia i skonfigurowania ochrony przed złośliwym oprogramowaniem za pomocą oceny i zaleceń programu Endpoint Protection w Microsoft Defender dla Chmury.

Scentralizowany wgląd w punkt odniesienia w wielu subskrypcjach

Stosując pakiet zbiorczy czytelnika dzierżawy, można uzyskać wgląd w dzierżawę stanu każdej z zasad, które są oceniane w ramach Defender dla Chmury wskaźnika bezpieczeństwa, usługi Azure Policy i zasad konfiguracji gościa. Możesz to zrobić na pulpicie nawigacyjnym zgodności organizacji w celu centralnego raportowania stanu dzierżawy.

Ponadto w ramach usługi Defender for Servers można użyć zasad Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez firmę Qualys), aby skanować maszyny wirtualne pod kątem luk w zabezpieczeniach i uwzględnić je bezpośrednio w Defender dla Chmury. Jeśli masz już rozwiązanie do skanowania luk w zabezpieczeniach wdrożone w przedsiębiorstwie, możesz użyć alternatywnego rozwiązania do oceny luk w zabezpieczeniach, które powinno zostać zainstalowane na maszynach wirtualnych na potrzeby wdrażania rozwiązania do skanowania luk w zabezpieczeniach partnera.

Napiwek

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla punktów końcowych.




Ikona listy kontrolnej z jednym znacznikiem wyboru.

Początkowe cele wdrożenia

Po osiągnięciu celów infrastruktury bazowej możesz skoncentrować się na implementowaniu nowoczesnej infrastruktury za pomocą kompleksowej strategii zero trust.

I. Obciążenia są monitorowane i powiadamiane o nietypowym zachowaniu

Podczas tworzenia nowej infrastruktury należy również ustanowić reguły monitorowania i zgłaszania alertów. Jest to klucz do identyfikowania, gdy zasób wyświetla nieoczekiwane zachowanie.

Zalecamy włączenie Microsoft Defender dla Chmury i planów ochrony obsługiwanych typów zasobów, w tym usług Defender for Servers, Defender for Storage, Defender for Containers, Defender for SQL itp.

W przypadku tożsamości monitorowania zalecamy włączenie usługi Microsoft Defender for Identity i Advanced Threat Analytics w celu umożliwienia zbierania sygnałów w celu identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości naruszonych zabezpieczeń i złośliwych akcji wewnętrznych skierowanych do organizacji.

Integrowanie tych sygnałów z usług Defender dla Chmury, defender for Identity, Advanced Threat Analytics i innych systemów monitorowania i inspekcji za pomocą usługi Microsoft Sentinel, natywnej dla chmury, rozwiązania do zarządzania zdarzeniami zabezpieczeń (SIEM) i automatycznego reagowania na zabezpieczenia (SOAR) umożliwi działanie centrum operacji zabezpieczeń (SOC) z jednego okienka szkła w celu monitorowania zdarzeń zabezpieczeń w całym przedsiębiorstwie.

Napiwek

Dowiedz się więcej o implementowaniu kompleksowej strategii zero trust tożsamości.

II. Każde obciążenie ma przypisaną tożsamość aplikacji — i stale konfigurowane i wdrażane

Zalecamy użycie zasad przypisanych i wymuszanych podczas tworzenia zasobów/obciążeń. Zasady mogą wymagać zastosowania tagów do zasobu podczas tworzenia, przypisywania grupy zasobów i ograniczania/bezpośrednich właściwości technicznych, takich jak dozwolone regiony, specyfikacje maszyny wirtualnej (na przykład typ maszyny wirtualnej, dyski, zastosowane zasady sieciowe).

Napiwek

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla aplikacji.

III. Dostęp człowieka do zasobów wymaga just-in-time

Personel powinien używać dostępu administracyjnego oszczędnie. Gdy funkcje administracyjne są wymagane, użytkownicy powinni otrzymać tymczasowy dostęp administracyjny.

Organizacje powinny ustanowić program Ochrony Administracja istratora. Cechy tych programów obejmują:

  • Docelowa redukcja liczby użytkowników z uprawnieniami administracyjnymi.
  • Inspekcja kont i ról z podwyższonym poziomem uprawnień.
  • Tworzenie specjalnych stref infrastruktury zasobów o wysokiej wartości (HVA) w celu zmniejszenia obszaru powierzchni.
  • Zapewnienie administratorom specjalnych bezpiecznych stacji roboczych Administracja (SAW) w celu zmniejszenia prawdopodobieństwa kradzieży poświadczeń.

Wszystkie te elementy pomagają organizacji lepiej znać sposób korzystania z uprawnień administracyjnych, w których te uprawnienia są nadal niezbędne, i zapewnić harmonogram działania w sposób bezpieczniejszy.




Ikona listy kontrolnej z dwoma znacznikami wyboru.

Dodatkowe cele wdrożenia

Po osiągnięciu pierwszych trzech celów możesz skoncentrować się na dodatkowych celach, takich jak blokowanie nieautoryzowanych wdrożeń.

IV. Nieautoryzowane wdrożenia są blokowane, a alert jest wyzwalany

Gdy organizacje przechodzą do chmury, możliwości są nieograniczone. To nie zawsze jest dobra rzecz. Z różnych powodów organizacje muszą mieć możliwość blokowania nieautoryzowanych wdrożeń i wyzwalania alertów w celu informowania liderów i menedżerów o problemach.

Platforma Microsoft Azure oferuje usługę Azure Blueprints , aby zarządzać sposobem wdrażania zasobów, dzięki czemu można wdrażać tylko zatwierdzone zasoby (na przykład szablony usługi ARM). Strategie mogą zagwarantować, że zasoby, które nie spełniają zasad strategii lub inne reguły, nie będą mogły zostać wdrożone. Rzeczywiste lub próby naruszenia strategii mogą zgłaszać alerty w razie potrzeby i wysyłać powiadomienia, aktywować elementy webhook lub elementy Runbook automatyzacji, a nawet tworzyć bilety zarządzania usługami.

V. Szczegółowa widoczność i kontrola dostępu są dostępne w różnych obciążeniach

Platforma Microsoft Azure oferuje różne metody umożliwiające uzyskanie widoczności zasobów. W witrynie Azure Portal właściciele zasobów mogą skonfigurować wiele możliwości zbierania i analizy metryk i dzienników. Ta widoczność może służyć nie tylko do podawania operacji zabezpieczeń, ale także do obsługi wydajności obliczeniowej i celów organizacyjnych. Obejmują one funkcje, takie jak zestawy skalowania maszyn wirtualnych, które umożliwiają bezpieczne i wydajne skalowanie w poziomie i skalowanie zasobów na podstawie metryk.

Po stronie kontroli dostępu można stosować kontrolę dostępu opartą na rolach (RBAC) w celu przypisania uprawnień do zasobów. Dzięki temu można przypisywać i odwoływać uprawnienia jednolicie na poszczególnych poziomach i grup przy użyciu różnych ról wbudowanych lub niestandardowych.

VI. Dostęp użytkowników i zasobów podzielone na segmenty dla każdego obciążenia

Platforma Microsoft Azure oferuje wiele sposobów segmentowania obciążeń w celu zarządzania dostępem użytkowników i zasobów. Segmentacja sieci jest ogólnym podejściem, a w obrębie platformy Azure zasoby mogą być izolowane na poziomie subskrypcji za pomocą sieci wirtualnych ,reguł komunikacji równorzędnej sieci wirtualnych, sieciowych grup zabezpieczeń (NSG), grup zabezpieczeń aplikacji (ASG) i usługi Azure Firewalls. Istnieje kilka wzorców projektowych umożliwiających określenie najlepszego podejścia do segmentowania obciążeń.

Napiwek

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla sieci.

Produkty omówione w tym przewodniku

Microsoft Azure

Azure Blueprints

Azure Policy

Azure Arc

Microsoft Defender dla Chmury

Microsoft Sentinel

Szablony usługi Azure Resource Manager (ARM)

Podsumowanie

Infrastruktura jest kluczowa dla pomyślnej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub zapoznaj się z innymi rozdziałami tego przewodnika, który obejmuje wszystkie filary Zero Trust.



Seria przewodników wdrażania zero trust

Ikona wprowadzenia

Ikona tożsamości

Ikona punktów końcowych

Ikona aplikacji

Ikona danych

Ikona infrastruktury

Ikona sieci

Ikona widoczności, automatyzacji, aranżacji